Правилата за драйвери на Windows

Ако даден драйвер е блокиран от тези правила, може да видите:

• Хардуерното устройство не функционира правилно.

• Периферни устройства или компоненти (принтер, мрежова карта, GPU и т.н.) не се разпознават.

• Приложение, което зависи от драйвер на ядрото, не може да се стартира.

Можете да проверите дали правилата за драйвера на Windows са отговорни, като проверите регистрите на събития за целостта на кода, като използвате следните два метода:

Събития за целостта на кода на заявката ръчно    

1. Щракнете с десния бутон върху бутона Старт и изберете Визуализатор на събития .

2. В левия екран отидете на: Регистрационни файлове за приложения и услуги > Microsoft > Windows > CodeIntegrity > оперативни

3. Потърсете или филтрирайте регистрационния файл за събития със следните ИД:

• ИД на събитие 3076 – беше одитиран драйвер (би бил блокиран, но е разрешен, защото правилата са в режим на проверка).

• ИД на събитие 3077 – Зареждането на драйвер е блокирано , тъй като е нарушил правилата за прилагане.

В подробностите за събитието потърсете полето "ИД на правила ". Събитията, причинени от тази функция, ще препращат към един от следните GUID на правила:

• Одитна политика : {784C4414-79F4-4C32-A6A5-F0FB42A51D0D}

• Прилагане на правила : {8F9CB695-5D48-48D6-A329-7202B44607E3}

Събития за цялост на кода на заявката с PowerShell

Можете да използвате PowerShell за бързо намиране на събития, свързани с тази функция:

# Find audit events (Event ID 3076) from the Windows Driver audit policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3076]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*784C4414-79F4-4C32-A6A5-F0FB42A51D0D*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

# Find block events (Event ID 3077) from the Windows Driver enforced policy

$events = Get-WinEvent -LogName 'Microsoft-Windows-CodeIntegrity/Operational' -FilterXPath "*[System[EventID=3077]]" -ErrorAction SilentlyContinue |

Where-Object { $_.Message -like '*8F9CB695-5D48-48D6-A329-7202B44607E3*' }

$results = $events | ForEach-Object {

$xml = [xml]$_.ToXml()

$data = $xml.Event.EventData.Data

[PSCustomObject]@{

TimeCreated = $_.TimeCreated

DriverName    = ($data | Where-Object { $_.Name -eq 'File Name' }).'#text'

ProductName = ($data | Where-Object { $_.Name -eq 'ProductName' }).'#text'

ParentProcess = ($data | Where-Object { $_.Name -eq 'Process Name' }).'#text'

}

}

$results | Select-Object DriverName, ProductName, ParentProcess -Unique | Format-Table -AutoSize -Wrap

Подробностите за събитието ще включват името на драйвера, който е бил проверяван или блокиран, и името на процеса, който се е опитал да зареди драйвера, което може да ви помогне да определите кой драйвер или устройство е засегнато.

Ако сте потребител на устройството или ИТ администратор

1. Проверете регистрите на събитията , като използвате стъпките по-горе, за да определите кой драйвер е блокиран.

2. Проверете актуализиране на Windows за актуализирани драйвери. Сертифицирани от WHCP, подписани драйвери може вече да са налични чрез актуализиране на Windows. Отидете в Настройки > актуализиране на Windows > Разширени опции > Актуализации по избор > актуализации на драйвери, за да проверите за налични актуализации на драйвери.

3. Посетете уеб сайта на производителя . Изтеглете най-новата версия на драйвера от официалната страница за поддръжка на доставчика – по-новите версии е по-вероятно да бъдат подписани с WHCP.

4. Свържете се с доставчика на хардуера или софтуера , който публикува драйвера. Попитайте ги дали версията на драйвера, сертифицирана за WHCP, е налична и откъде да осъществите достъп до него. Повечето доставчици вече сертифицират своите драйвери за WHCP.

Ако сте издател на драйвер

Ако разработвате и разпространявате драйвери за режима на ядрото за Windows, трябва да се уверите, че драйверите са подписани чрез процеса на WHCP:

1. Присъединете се към центъра за разработчици на хардуер на Windows . Регистрирайте се в центъра за разработчици на хардуер на Windows с валиден сертификат за подписване на код за EV (разширена проверка).

2. Създаване на подаване . В таблото за хардуер създайте нов продукт и подайте своя драйверен пакет за сертифициране.

3. Изпълнете HLK тестовете . Използвайте Windows Hardware Lab Kit (HLK), за да изпълните необходимите тестове за типа на драйвера и категорията на устройството.

4. Подаване за подписване . След като тестовете преминат, подайте резултатите от HLK заедно с драйверния пакет. Microsoft ще подпише драйвера със сертификата WHCP.

5. Разпространение на подписания драйвер . След като влезете, публикувайте сертифициран за WHCP драйвер чрез актуализиране на Windows и/или вашия уеб сайт.

Правилата за драйвера на Windows са подписани правила за цялост на кода, съхранявани в системния дял на EFI и защитени от компоненти за ранно стартиране на Windows. Изключването на функцията изисква следните ръчни стъпки, така че злонамерен софтуер, изпълняван като администратор, да не може да промени злонамерено тази функция:

Стъпка 1: Забраняване на защитеното стартиране

1. Рестартирайте компютъра си и въведете менюто с настройки на фърмуера на UEFI (BIOS). Обикновено можете да направите това, като натиснете клавиш по време на зареждане (като например F2 , F10 , Del или Esc – проверете документацията на производителя на устройството)

   1. Като алтернатива, в Windows: отидете в Настройки > Система > Възстановяване > Разширено стартиране > Рестартиране сега . След това изберете Отстраняване на неизправности > Разширени опции > Настройките на фърмуера на UEFI > Рестартиране .

2. В настройките на фърмуера намерете опцията защитено стартиране (обикновено под раздела Защита или Стартиране ).

3. Задайте защитеното стартиране на Дезактивирано .

4. Запишете промените и излезте от настройките на фърмуера.

Стъпка 2: Изтриване на файловете с правила от системния дял на EFI

1. Отворете PowerShell като администратор .

2. Монтирайте системния дял EFI, като стартирате:

mountvol S: /s

Можете да използвате всяка налична буква на устройство вместо "S:".

3. Изтрийте файла с правилата за проверка:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

4. Ако има и политика за прилагане, заличи я:

del S:\EFI\Microsoft\Boot\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

5. Също така проверете и изтрийте правилата от системния указател на Windows:

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{784C4414-79F4-4C32-A6A5-F0FB42A51D0D}.cip

del %windir%\System32\CodeIntegrity\CiPolicies\Active\{8F9CB695-5D48-48D6-A329-7202B44607E3}.cip

6. Демонтирайте дяла EFI:

mountvol S: /d

Стъпка 3: Рестартирайте компютъра си

Рестартирайте устройството, за да влязат в сила промените. След рестартиране правилата вече няма да са активни и всички подписани драйвери – включително тези без сертифициране на WHCP – ще могат да се зареждат.

Стъпка 4: Повторно разрешаване на защитеното стартиране

След като премахнете файловете с правила, разрешете отново защитеното стартиране в настройките на фърмуера на UEFI, за да запазите други защити на защитеното стартиране.

Функцията се стартира в режим на оценка , където регистрира, но не блокира несигурни драйвери. След като вашата система изпълни критериите за оценка (достатъчно време на работа без прекъсвания и рестартирания без нарушения на правилата), правилата автоматично преминават към режим на прилагане , а драйверите, които не са подписани с WHCP, ще бъдат блокирани. Това може да доведе до спиране на зареждането на драйвери, които преди това са работили.

В момента няма начин да заобиколите правилата за отделни драйвери. Можете да забраните функцията изцяло (вж. по-горе) или за предпочитане да се свържете с издателя на драйвера и да го помолите да предостави версия на драйвера, подписана с WHCP.

Тази функция се отнася само за драйвери за режима на ядрото . Приложенията в потребителски режим не са засегнати от тези правила.

Можете да проверите, като изпълните следните команди като администратор в PowerShell:

$evalPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "784c4414-79f4-4c32-a6a5-f0fb42a51d0d" }

$enforcedPolicy = (citool -lp -json | ConvertFrom-Json).Policies | Where-Object { $_.PolicyID -eq "8F9CB695-5D48-48D6-A329-7202B44607E3" }

if ($enforcedPolicy.IsEnforced -and $enforcedPolicy.IsAuthorized) { Write-Host "✅ The feature is in enforcement mode" -ForegroundColor Green }

elseif($evalPolicy.IsEnforced -and $evalPolicy.IsAuthorized) { Write-Host "✅ The feature is in evaluation mode" -ForegroundColor Green }

else { Write-Host "❌ The feature is not available on this system" -ForegroundColor Red }

Да – Windows Server 2025 и по-нови сървърни платформи. Въпреки това, на Windows Server, изискването на сесията за стартиране е 2 рестартирания (в сравнение с 3 на клиентски издания). Всички други критерии са еднакви.

Ако нулирате или преинсталирате Windows, функцията ще започне начисто в режим на оценка. Броячите за оценка ще бъдат нулирани и преходът към прилагане ще започне отново от самото начало.